La cyberdifesa? Dev’essere una macchina perfetta
di Giulia Caliari
-
18 Giugno 2023
Da IBM una piattaforma completa di Threat Detection and Incident Response che, grazie all’impiego di tecnologie avanzate, ottimizza (e facilita) il lavoro di tutte le funzioni che in azienda si occupano di sicurezza delle infrastrutture IT
In un contesto di Cybersecurity sempre più difficile e sfidante, le normative impongono alle aziende di migliorare il processo di gestione delle minacce e il reporting degli incidenti; la tecnologia gioca un ruolo chiave, e può dare un forte contributo su entrambe i fronti, per ridurre l’aggravio di lavoro degli operatori e facilitare il rispetto, nei contenuti e nelle tempistiche, degli obblighi normativi.
Gestire le minacce di sicurezza richiede di strutturare un ciclo di attività che parte innanzitutto dalla “prevenzione” - che implica la conoscenza di come evolve il panorama delle minacce e il controllo delle esposizioni che rendono vulnerabile l’infrastruttura IT dell’azienda; comprende le capacità di “identificazione” e “analisi” delle minacce in corso fino alle attività di “risposta” per bloccare gli attacchi e ripristinare i servizi.
L’insieme delle persone, dei processi e delle tecnologie a questo preposte deve operare come una macchina perfettamente oliata ed efficiente, perché il volume di segnalazioni, allarmi e vulnerabilità da gestire rischierebbe altrimenti di sopraffare le capacità dei team di sicurezza. Come IBM, cerchiamo di portare innovazione tecnologica per migliorare e ottimizzare il lavoro di tutte le figure, tecniche e di business, che contribuiscono alla gestione delle minacce di sicurezza.
Oggi mettiamo a disposizione una piattaforma tecnologica completa di Threat Detection and Incident Response che supporta le attività di prevenzione, identificazione, analisi e risposta, ma che allo stesso tempo è aperta per integrare altri strumenti, anche di fornitori diversi, in modo facile e trasparente; questo semplifica la vita dell’analista, che può effettuare ricerche, indagini o attuare azioni correttive in modo rapido e immediato.
Abbiamo migliorato la precisione nell’identificazione delle minacce, per ridurre il numero degli allarmi e dei falsi positivi; abbiamo sviluppato funzionalità, basate su ML e AI, che sono in grado di centralizzare e aggregare allarmi provenienti da sorgenti diverse, di arricchirli con dati di contesto, fino a ricostruire le sequenze di un attacco e suggerire le azioni di correzione. Tutto questo in modo automatico, lasciando all’analista il compito di accertare l’eventualità dell’incidente e attivare rapidamente le procedure di risposta.
L’insieme degli attori coinvolti può andare oltre le figure tecniche, e coinvolgere, ad esempio, Service Owner, responsabili di LOB, della comunicazione, dell’audit e compliance, compresi coloro che devono effettuare il reporting e adempiere agli obblighi normativi. È quindi fondamentale la componente che permette di orchestrare e coordinare le diverse attività, umane e automatizzate, tecniche e non tecniche, di guidare tutti gli attori con istruzioni operative chiare e aggiornate, di impostare e controllare l’osservanza delle tempistiche; una piattaforma collaborativa centralizzata che raccoglie tutte le informazioni e le evidenze relative al caso, ed è anche la fonte primaria per reporting e la comunicazione con gli organismi e i soggetti esterni.
Quindi, facilitare il lavoro degli operatori di sicurezza, migliorare la produttività, arricchire le loro capacità col l’AI e l’automazione, ecco questi sono i temi su cui dobbiamo investire oggi per aiutare le aziende a fronteggiare con efficacia le minacce e rispondere tempestivamente nell’eventualità di attacchi.